セキュリティ関連企業のホワイトペーパを読んでいたら、Heartbleed 脆弱性への対応で SSL証明書を入替えた際、秘密鍵を変更しないまま証明書を再発行している Webサーバーが多いらしい。
馬鹿な、有り得ないだろ。
事実だとすれば、大きく二重の不見識だと思う。
一つは、Heartbleed 脆弱性の内容(プロセスのメモリ内容が漏洩 = 秘密鍵が漏洩)を理解しないまま、「SSL証明書を再発行しないといけない」という上っ面だけの対応をしてしまっていること。
もう一つは、そもそも SSL証明書を再発行(更新)する際は、新しい秘密鍵を使わなければいけないという大原則に反していること。
セキュリティ関連企業のホワイトペーパーである(多少なりと宣伝の色彩がある)ことを割引いて読まないといけないのだろうけれど、自身の経験でも、何も考えずに長い有効期限(複数年)の証明書を選択したり、あまつさえ CSR を使い廻したりするのを見てきているので、あながち誇張だとばかりも思えない。
どちらも、複数年にわたって「同じ秘密鍵を使い続ける」という事なので。特に後者(CSR の使い廻し)は、公開鍵基盤や公開鍵暗号の仕組を理解していたら絶対にしない選択だと思う。
「技術」というのは IT関連に限らず、詳細はともかく概要だけでも理解していないと安全に使うことすら叶わないのだと、改めて思うのです。
